רשימות ביקורת וביקורות

1) מטרה

• השוואת המחאות בין צוותים ותקופות;
• שלמות וראיות לתוצאות;
• ניהול שקוף של טלאים (CAPAs) ובדיקות מחדש

2) תפקידים ו ־ RACI

בעלים: ראש ציות/ראש ביקורת פנים - מתודולוגיה, גרסאות של רשימות בדיקה. (א)

בעלי תהליך (קו 1): הערכה עצמית, חפצים, CAPA. (R)

ציות/InfoSec/AML/RG (קו 2): ביקורת עמיתים, ביקורת משותפת, פרשנות נורמות. (R/C)

ביקורת פנימית (קו 3): ביקורות עצמאיות, רייטינג, המשך. (R)

ניהול (Exec Sponsor) - תפוקות Approval ומשאבים CAPAs. (A/C)

3) סוגי סקירה

1. הערכה עצמית (SA): חודש/רבעון על ידי בעלי תהליכים עבור רשימות בדיקה קצרות.
2. Peer-Review (יחסי ציבור): בדיקה צולבת על ידי צוות שכן (אין ניגוד אינטרסים).
3. סקירת ניהול (MR): סקירה רבעונית של KPI/KRI, מגמות וכפרים פתוחים.
4. ביקורת פנים (IA): IA Plan Independent Review.
5. מוכנות לביקורת חוץ (אוזן): הכנה לתעודות/פקחים (ISO/SOC/PCI/רגולטור).

4) כללים כלליים של הרשימה

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• Met מלא (100-90% )/Met במידה רבה (89-75% )/Met חלקית (74-50% )/Not Met (<50%).
• חומרת אי התאמות: S1 critical/S2 high/S3 medium/S4 נמוך.
• Materiality: אפקט מוניטרי (GGR/NGR), כיסוי לקוחות/PII, סיכון רישוי/ענישה, השפעה על שלמות המשחק.

קטלוג רשימה 5 (שלדים עם נקודות ביקורת)

CL-KYC-01 - KYC/KYB

[ מדיניות ] ורמות הביקורת מאושרות ומעודכנות.

[ ] לספקי KYC יש חוזים/DPAs קיימים.

[ ] אימות SLAs נפגשים (D-1 מטרי).

[ מסמכי ] מאוחסנים בהתאם לשימור; גישה - RBAC.

[ כשלים/הסלמה ] מתועדים; הפרופורציה של FP היא נורמלית.

[ ] KYB לשותפים:

ראיות: העלאות מצב של KYC, רישום DPA, רישום גישה, דגימה של 25 מקרים.

CL-AML-02 - AML/CFT

[ ] מדיניות AML מעודכנת ומתודולוגיית ניקוד סיכונים.

[ ] בדיקות PEP/סנקציה על עלייה למטוס ובדיקות תקופתיות.

[ ] SARs/STRs נשלחים בזמן; יש הכרה בכך.

[ איכות החקירות ]: שלמות, תזמון, סגירת מעגל.

[ ] כללי ניטור מכסים מהירות/מבנה/פרדות.

[ ] אין בדיקת הזזה, אין הודעת לקוח בזמן הסי-אר-איי.

ראיות: מקרי SAR/STR, רישומי בדיקת סנקציה, דו "חות זמן סגירת תיק.

CL-RG-03 - מחזה אחראי

Registre/Self Exclusion Register מסונכרן (Register/Nat. מערכת).

[ ] פגיעות מפעילה = מגע ב ־ SLA; תבניות תקשורת.

[ יעילות ההתערבות ] נמדדת ומנותחת.

[ ] Ads/בונוסים לפגוש אילוצי שוק.

[ ] תקריות והודעות לרגולטור בזמן.

ראיות: יומן הדרה עצמית, קומוניסט. תבניות, מדדי סיוע.

CL-PCI-04 - תשלומים/PCI

[ ] קטעי PCI ומלאי PAN/CHD עד היום.

[ ] טוקניזציה/הצפנה במעבר/במנוחה; המפתחות חופרים.

[ ] Auth-rate/down/latency by PSP בסף; נתיבי נסיגה.

[ ] תהליך צ 'רג' בק ובסיס ראיות למחלוקות.

[ ] פגיעות מסריקות ASV נקבעו בזמן.

[ ] יומני הגישה לאזור התשלום מלאים ובלתי ניתנים לשינוי.

ראיות: תרשימי רשת, דוחות ASV, תיקי מטען, מדיניות מפתח של KMS.

CL-GAMES-05 - ספקי משחקים/שלמות

[ ] החוזים והמפרטים הטכניים מעודכנים; RNG/לבנות גרסאות - ברישום.

[ ] ניטור סחף RTP וסיפי תגובה; ההקפאה מתוקנת באופן פרוצדורלי.

[ ] סינכרון איזון סיבוב/ישיבה/ארנק.

[ תקריות ספק ]: ציר זמן, לכידה, פיצוי שחקן.

[ דיווחים ] לרגולטור שלמות/RTP - הוגשו ואושרו.

הגהות: העלאות RTP, יומני API מספקים, דוגמאות לכרטיסי הקפאה.

CL-REP-06 - דיווח רגולטורי

[ מזימות ] דאטה מבוססות; קבצים חתומים/עם חשיש.

[ פיוס ]: ארנק ↔ PSP ↔ GL אין חוסר התאמה> X%.

[ ] הכרה (תעודות זהות/קבלות) מאוחסנות ומשויכות לחפצים.

[ ] לוקליזציה/שפה נפגשו.

ראיות: לוח זמן, קבלות, פיוס SQL.

CL-INC-07 - תקריות/הודעות

[ ] TTS (הודעה ראשונה) ב SLA על ידי S1/S2.

[ ] DPA/רגולטור/PSP/CERT הודעות - בזמן, עם אישורים.

[ ] שלמות של חפצים: ציר זמן, יומנים, הודעות, רשימות מושפעות.

[ ] רטרו 7 ימים, קאפ "א רשומים ונעים.

[ שחקני ] מקבלים פיצוי בהתאם למדיניות.

ראיות: יומן אירוע, דף מצב, חבילות פריטים.

CL-GDPR-08 - GDPR/PII

[ רישום הטיפול ] (ROPA) עדכני; הנימוקים החוקיים נכונים.

[ ] DSARs סגורים במשך 30 יום; עבריינות הסבירה.

[ הדי-פי-איי ] מיועדים לתהליכים בסיכון גבוה.

[ ] הזהות הבדויה/מסווה העלאות ודיווחים.

[ ] חוזים עם מעבדים ו-SCC תקפים.

ראיות: ROPA, כתב העת DSAR, DPIA, דוגמאות של מסכות בדיווחים.

CL-ITGC-09 - כללי IT שולט

[ ניהול שינוי ]: תהליך יחסי ציבור, בדיקות, אישורים, הפרדת חובות.

[ ] נגישות: RBAC/ABAC, תיקון תקופתי, 24 שעות רישום.

[ ] גיבוי/שחזור, בדיקות תקופתיות

[ ] יומני Audit הם בלתי ניתנים לשינוי, שימור נצפה.

[ ] יכולת תצפית: תקציבי SLO/שגויים, התראות למדדים קריטיים.

ראיות: דגימות יחסי ציבור, יומני IAM, דוחות מבחן DR, מדיניות שימור.

6) מתודולוגיית דגימות וראיות

גודל: התמקדות בהיקף וסיכון (למשל: min 25, pps/stratification עבור מערכים גדולים).
שיטות: אקראי, שיטתי, כיווני (חריגות/מקרים שוליים), על ידי תקופות שיא.
Sufficience: לפחות 2-3 מקורות בלתי תלויים לפלט המפתח (יומנים, צילומי מסך, העלאות, כרטיסים).
איתור: עבור כל פריט ברשימה - הוכחה עם זיהוי וקישור בקופה.

7) גוזל רייטינג

היעיל - השליטה מתוכננת ועובדת באופן קבוע, אין S1/S2 חוסר עקביות.
בדרך כלל יעיל (עם שיפורים) - יש S3/S4, אבל סיכונים נמצאים תחת שליטה.
יעיל חלקית - מערכת S2; סיכון שיורי גבוה.
לא יעיל - S1/set S2; דורש תוכנית שיקום מיידית.

8) CAPA Extrop

עבור כל ממצא: root # action ac בעלים * metric process.
סגירת SLA: S1 - balland 30 ימים; S2 - 60 ימים מפוקפקים; ס "3 - מפורט 90 יום; S4 - על פי הסכם.
אימות: המבקר מיישם ראיות ליישום (מסכים/לוגים/מדיניות), משנה את הסטטוס ל-Veried.
הסלמה: S1/S2 עיכובים למר "מ השבועי, לועדת הביקורת הרבעונית.

9) עבודת חפצים (תבניות)

9. רשימת בדיקות 1 (גיליון בדיקה)

9. 2 כרטיס מציאה

קוד כותרת בפועל קריטריון סיכון/השפעה שורש סיבה S רמת המלצה.

9. 3 גיליון CAPA

Pinding Extress Lought Ladleine # Metric/Threshold # Research # Status # Immaging Date.

9. 4 רשימת PBC (מסופק על ידי הלקוח)

Query Ac.se Format # Source Lought # Ladinal lash Date Action Action.

10) ביקורת לוח מחוונים

כיסוי:% מהתהליכים מכוסים על ידי הסקירה במהלך התקופה.
ממצאים בחומרה: הפצת S1-S4.
CAPA Progress: הושלם/בתהליך/פג תוקף; זמן סגירה חציוני.

ממצאים חוזרים: פרופורציה של חזרות תוך 12 חודשים

זמן: דבקות בלו "ז SA/PR/MR/IA.
מגמת יעילות: דירוג דינמיקה לפי אזור.

11) לוח שנה ותדרים

חודש: SA by KYC/תשלומים/GDPR DSAR, תקריות/הודעות.
רבעון: יחסי ציבור על ידי AML/RG/ספקים/דיווח, מר לכל הכיוונים.
חצי שנתי/שנתי: IA על ידי אזור סיכון גבוה; אוזן לפני תעודות/בדיקות.

12) בדיקת קלפים ”התחלה מהירה” (7 נקודות כל אחד)

KYC (7-point): ספקי מדיניות/DPA SLA SLA Queues> SLA RBAC Wayvers/Escalations FP Report.
(7-Point): רשימות PEP/SAR סנקציות תאריכי זמן איכות של חקירות מהירות/בניה ללא הדרכות Caseboard KPI.
רישום/סינכרון מגעים ב-SLA אפקטיביות הגבלת תלונות על תקריות לרגולטור.
PCI (7-point): Segmentation Keys/ASV Rotation/Volcanoes Access Tokenization Chargebacks Fallback PSP.
Games (7-point): RTP-drift Freeze Process Balance Synchronies Design RNG Persions/Building SLA API Personity Reports.
דיווח (7-point): Calendar schemes/grass Signate/hash Reconciliation Language/locale DQ metric repositions.
הודעות TTS בזמן השלמת חפצים פיצוי רטרו CAPA לוח מחוונים.

13) טעויות תכופות וכיצד להימנע מהן

רשימת בדיקות ללא ראיות. כל הפריטים ידרשו זיהוי של חפץ.
הערכה ללא חומריות = לתקן את הסף בכרטיס הרשימה.
שכפול SA/PR/IA = לוח שנה עקבי ורשימת בקשה אחת (PBC).
”מרכז מסמכים” ללא בדיקות מבצעיות.
CAPAs ללא מדדים # לציין תוצאות מדידות (לדוגמה, DSAR/30 יום/98%).

14) תוכנית יישום (30 יום)

שבוע 1

1. לאשר את המתודולוגיה ודירוג מאזניים.
2. צור 8 רשימות בדיקה בסיסיות (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. תרשום חפצים ותבניות PBC/מציאת CAPA.

שבוע 2

4. ניהול טייס SA בתהליכים 2 ויחסי ציבור בתהליך 1.
5. הגדר לוח מחוונים ויומן CAPA.
6. הדרכה על ”ראיות ודגימות”.

שבוע 3

7. ישיבת אוזן ליד הסמכה/בדיקה.
8. מסכים על לוח הזמנים של מר חקירות פנים לרבעון.
9. תקן סף חומר ומידות מדגם.

שבוע 4

10. שחרר V1. 0 מדריך רשימה וכרטיס לוח שנה.
11. רטרו פיילוט, עדכון רשימת גרסאות (v1. 1).
12. כולל סקירה בהליך בעל KPI.

15) חלקים קשורים

ביקורת פנימית וביקורת חיצונית

דוחות רגולטוריים ופורמטי נתונים

הודעות על הפרות ומועד דיווח

לוח מחוונים ציות וניטור

ספרי משחקים ותסריטים

ניהול משברים ותקשורת